在數(shù)字經(jīng)濟全球化浪潮背景下,催生了企業(yè)數(shù)據(jù)跨境流動的客觀需要,成為了企業(yè)在空間維度延伸數(shù)據(jù)價值的必然要求。數(shù)據(jù)跨境流動是數(shù)據(jù)利用在境外的延伸,能夠為企業(yè)帶來商業(yè)價值,但是也存在風險,主要在數(shù)據(jù)出境之后的泄漏問題。
《數(shù)據(jù)出境安全評估辦法》于2022年9月1日起開始施行。這標志這我國關于跨境數(shù)據(jù)流動的法律制度逐漸完善,為數(shù)據(jù)出境的雙向流動提供明確的行為準則,對國外企業(yè)在國內(nèi)開展的違規(guī)數(shù)據(jù)活動形成約束,對企業(yè)數(shù)據(jù)跨境合規(guī)應對和治理能力提出新的要求。
與此同時,國家網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評估申報指南(第一版)》,指導和幫助數(shù)據(jù)處理者規(guī)范、有序申報數(shù)據(jù)出境安全評估。申報指南中包含了4個附件,包括評估材料要求,經(jīng)辦人授權委托書模版,數(shù)據(jù)出境安全評估申報書模版,數(shù)據(jù)出境風險自評估模版等,企業(yè)可以參考模版提交申報材料。
一、數(shù)據(jù)出境政策要求
國家互聯(lián)網(wǎng)信息辦公室制定《數(shù)據(jù)出境安全評估辦法》,明確了數(shù)據(jù)出境安全評估的目的、原則、范圍、程序和監(jiān)督機制等具體規(guī)定,對保護國家安全、公共利益、個人合法利益和促進數(shù)字經(jīng)濟發(fā)展具有重要的里程碑意義。
《數(shù)據(jù)出境安全評估辦法》,以近年來我國發(fā)布的多個網(wǎng)絡安全和數(shù)據(jù)安全法律為基礎?!毒W(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》三部法律,在各自側重的網(wǎng)絡安全領域、數(shù)據(jù)安全領域、個人信息安全領域分別對數(shù)據(jù)跨境問題有具體條例解釋。《網(wǎng)絡安全法》首次在法律層面從國家安全角度對數(shù)據(jù)出境安全提出具體要求,強調(diào)關鍵信息基礎設施運營者在境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲,因業(yè)務需要確需向境外提供的,應按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估。《數(shù)據(jù)安全法》進一步完善了對數(shù)據(jù)出境的規(guī)定?!秱€人信息保護法》則具體明確了個人信息出境的管理規(guī)則。這三部上位法對數(shù)據(jù)出境安全管理的基本原則是重要數(shù)據(jù)境內(nèi)存儲和數(shù)據(jù)出境安全評估。
在上述三部法律基礎上,《數(shù)據(jù)出境安全評估辦法》在落地實施環(huán)節(jié)對數(shù)據(jù)跨境流動所涉及的數(shù)據(jù)處理者、數(shù)據(jù)對象、評估方法等方面給予明確指導。同時,對于赴境外上市引起數(shù)據(jù)流動的情況,還應遵守《網(wǎng)絡安全審查辦法》的要求申報并通過網(wǎng)絡安全審查。
二、《數(shù)據(jù)出境安全評估辦法》要點解讀
要點1:什么情景下需要開展數(shù)據(jù)出境評估?
要點2:數(shù)據(jù)出境評估流程
要點3:企業(yè)自評估及材料申請
要點4:監(jiān)管部門評估要點
要點5:安全評估組織構成
三、國內(nèi)企業(yè)數(shù)據(jù)出境建議
隨著《數(shù)據(jù)出境安全評估辦法》9月1日的施行,對于需要開展數(shù)據(jù)出境業(yè)務的企業(yè),如果不能通過監(jiān)管部門的安全評估檢查,則可能因此影響數(shù)據(jù)出境、甚至業(yè)務的連續(xù)運營。建議企業(yè)在《數(shù)據(jù)出境安全評估辦法》施行前即開展準備工作,如需申報,在《評估辦法》于今年9月1日實施后盡早申報較為穩(wěn)妥。
企業(yè)如涉及跨境業(yè)務的開展,應盡快開展自查與梳理,分析是否存在可觸發(fā)數(shù)據(jù)出境安全評估的情形,并盡快組織或聘請第三方開展風險自評估,及早發(fā)現(xiàn)數(shù)據(jù)出境安全風險并進行整改,為通過國家網(wǎng)信辦安全評估做好準備。具體步驟包括:
? 圍繞受監(jiān)管主體和受監(jiān)管數(shù)據(jù)等要素研判企業(yè)是否涉及數(shù)據(jù)出境。
? 選擇適當?shù)臄?shù)據(jù)出境途徑,目前個人信息出境包括網(wǎng)信辦評估、個人信息出境標準合同,個人信息跨境處理活動安全認證等三種途徑,重要數(shù)據(jù)主要采用網(wǎng)信辦評估的方式出境。
? 自行或聘請第三方開展數(shù)據(jù)出境安全自評估,自評估工作可與個人信息安全影響評估同步進行,并重點關注重要數(shù)據(jù)及個人信息的出境風險。
? 自評估結束后,對評估風險問題進行整改。如果企業(yè)從零開始的話,建議企業(yè)要建立數(shù)據(jù)安全治理體系,包括但不限于開展數(shù)據(jù)分類分級,數(shù)據(jù)安全風險評估,個人信息安全影響評估、數(shù)據(jù)安全管理制度、數(shù)據(jù)安全防護措施建設等工作;同時,結合《評估辦法》要求,建立完善數(shù)據(jù)出境安全機制,建立出境安全制度體系、出境安全組織架構、出境安全技術保障和出境安全應急響應等。
? 對于申報數(shù)據(jù)出境安全評估階段,企業(yè)準備自評估報告、自評估過程材料、數(shù)據(jù)出境合同、申報書并向省級網(wǎng)信部門提交資料,需關注申報材料準備、申報材料補充、申請復評和重新評估等關鍵節(jié)點,切忌因材料問題影響評估結果。
四、國內(nèi)某車企數(shù)據(jù)出境實踐參考
近年來,隨著我國政府在新能源汽車的提前布局與政策利好,中國車企在全球新能源汽車領域的競爭中贏得了市場先機,并加速搶灘海外市場,數(shù)據(jù)出境的需求日益增多。然而,汽車行業(yè)數(shù)據(jù)出境安全風險事件頻發(fā),引起了國家有關部門高度重視,陸續(xù)出臺了一系列的政策文件,旨在加強跨境流動監(jiān)管與治理工作,保障汽車重要數(shù)據(jù)與個人信息數(shù)據(jù)的安全。
在此背景下,國內(nèi)某車企對出境數(shù)據(jù)內(nèi)容進行盤點,發(fā)現(xiàn)涉及大量個人信息、車輛數(shù)據(jù)及營銷數(shù)據(jù),如駕駛人身份證號、行駛證號、駕駛證檔案編號,發(fā)動機編號、工況數(shù)據(jù)、車輛應用數(shù)據(jù),銷售、倉儲、物流數(shù)據(jù)等。綠盟科技配合該車企開展了一系列數(shù)據(jù)出境安全合規(guī)的建設內(nèi)容:
建立數(shù)據(jù)出境合規(guī)團隊
由企業(yè)的信息安全部門、法務部門和業(yè)務部門等成員組成數(shù)據(jù)出境合規(guī)委員會。數(shù)據(jù)出境合規(guī)委員會定期對國內(nèi)外數(shù)據(jù)安全法律法規(guī)進行研究,確保在采集和處理國外數(shù)據(jù)時不違反當?shù)胤?在本國數(shù)據(jù)出境時,接入方有嚴格的安全保護措施來保證數(shù)據(jù)安全。同時,落實數(shù)據(jù)出境的安全主體責任制,建立企業(yè)數(shù)據(jù)出境管理制度,加強數(shù)據(jù)出境安全監(jiān)測與防護。
跨境數(shù)據(jù)識別梳理
參照國家和行業(yè)領域的重要數(shù)據(jù)識別指南等文件,結合企業(yè)自身的業(yè)務數(shù)據(jù)識別重要數(shù)據(jù)與個人敏感信息,開展數(shù)據(jù)分類分級工作。
數(shù)據(jù)出境風險自評估
數(shù)據(jù)出境風險自評估是數(shù)據(jù)處理者向境外提供數(shù)據(jù)的必經(jīng)之路,對出境方式、數(shù)據(jù)數(shù)量、數(shù)據(jù)屬性進行充分綜合判斷,制定數(shù)據(jù)出境計劃,最終形成數(shù)據(jù)出境風險評估報告。通過有效的自評估,不僅可以降低數(shù)據(jù)出境的合規(guī)風險,在向主管部門申報安全評估時,也有助于提高監(jiān)管部門安全評估的效率。
完善數(shù)據(jù)出境管理體系
健全數(shù)據(jù)出境管理制度,落實數(shù)據(jù)安全保護義務。如企業(yè)數(shù)據(jù)出境合同,約定雙方的數(shù)據(jù)安全保護權責,優(yōu)化隱私政策和用戶協(xié)議中跨境條款;企業(yè)數(shù)據(jù)泄露應急預案,在緊急事件發(fā)生后,第一時間通知相關責任人,同時在法律規(guī)定的時間內(nèi)上報數(shù)據(jù)監(jiān)管機構,避免因違反法規(guī)程序而擴大不良影響及懲罰金額。
加強數(shù)據(jù)安全防護措施
通過關鍵技術創(chuàng)新,構建起全場景、可信任、實戰(zhàn)化的數(shù)據(jù)安全縱深防御預警體系,貼合客戶實際需求,形成場景化的數(shù)據(jù)出境安全解決方案。包括數(shù)據(jù)梳理、數(shù)據(jù)監(jiān)測、數(shù)據(jù)庫審計、數(shù)據(jù)匿名化、數(shù)據(jù)溯源及數(shù)據(jù)可視化等能力,有效保護數(shù)據(jù)在出境生命周期過程中的安全,達到合法采集、合理利用、靜態(tài)可知、動態(tài)可控的防護目標。
五、數(shù)據(jù)出境安全展望
數(shù)據(jù)作為數(shù)字經(jīng)濟的核心要素,不僅是企業(yè)的核心競爭力,也成為國家之間爭奪的重要戰(zhàn)略資源。面對復雜的國際形勢,我國出于維護國家數(shù)據(jù)安全的需要,對數(shù)據(jù)出境的監(jiān)管是極其必要的。企業(yè)應在合理利用“數(shù)據(jù)紅利”的基礎上,盡快推進落實數(shù)據(jù)出境合規(guī)化建設,加大資金與人力的投入,開展數(shù)據(jù)出境自評估與合規(guī)調(diào)整。綠盟數(shù)據(jù)出境安全解決方案,全面落地“智慧安全 3.0”的理念,將事前評估、事中監(jiān)測、事后溯源與持續(xù)監(jiān)督相結合,有效防范數(shù)據(jù)出境安全風險,保障數(shù)據(jù)依法有序自由流動。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據(jù)。
關鍵詞: